Protection contre le DHCP Spoofing
Le DHCP Spoofing est une attaque réseau qui implique l’usurpation de l’identité d’un serveur DHCP légitime. Le but de cette attaque est souvent de distribuer des adresses IP et des configurations réseau malveillantes aux clients DHCP, pouvant conduire à des détournements de trafic, des interceptions de données.
Supposons un scénario où un attaquant est présent sur le même réseau que la victime. Lorsqu’un nouvel appareil rejoint le réseau et envoie une requête DHCP pour obtenir une adresse IP, l’attaquant, agissant comme un serveur DHCP malveillant, répond à cette requête avec un message prétendant être le véritable serveur DHCP. L’adresse IP fournie par l’attaquant peut pointer vers un appareil contrôlé par l’attaquant ou rediriger le trafic à travers l’appareil de l’attaquant.
DHCP Snooping est une technique qui permet de protéger un réseau contre ce type d’attaque. Il fonctionne en désignant certains ports de switch comme « de confiance » et d’autres comme « non de confiance ». Les ports de confiance sont ceux qui sont connectés à des serveurs DHCP légitimes, tandis que les autres ports sont considérés comme non de confiance. Lorsqu’un message DHCP est reçu sur un port auquel il ne fait pas confiance, le switch rejette le message, empêchant ainsi l’attaquant de distribuer des adresses IP malveillantes.
Pour configurer le DHCP Snooping
Switch(config)# ip dhcp snooping
Switch(config)# ip dhcp snooping vlan <vlan-id>
Switch(config-if)# ip dhcp snooping trust
Pour utiliser ces commandes
- Entrez dans le menu de configuration générale
- Tapez
ip dhcp snooping
pour commencer d’analyser les requêtes DHCP pour remplir la table de liaison IP-MAC. - Tapez
ip dhcp snooping vlan <vlan-id>
, en remplaçant<vlan-id>
par les numéros de vlan à appliquer la vérification. - Entrez dans le mode configuration d’interfaces où votre serveur DHCP est connecté
- Tapez la commande
ip dhcp snooping trust
pour faire confiance aux requêtes DHCP pour un port donné.
Exemple d’utilisation
Switch> enable
Switch# configure terminal
Switch(config)# ip dhcp snooping
Switch(config)# ip dhcp snooping vlan 1
Switch(config)# interface GigabitEthernet 0/2
Switch(config-if)# ip dhcp snooping trust
Switch(config-if)# end